In der Aktionsspalte des Bedrohungsprotokolls wird "Reset-Server" anstelle von "reset-both" angezeigt.

In der Aktionsspalte des Bedrohungsprotokolls wird "Reset-Server" anstelle von "reset-both" angezeigt.

57411
Created On 01/07/21 02:24 AM - Last Modified 04/01/24 07:37 AM


Question


  • Der Kunde verwendet "reset-both" für die Standardaktion des http-Decoders des AntiVirus-Profils.
  • Wenn der firewall die Malware erkennt, die in der HTTP Sitzung per AntiVirus-Signatur gesendet wird, wird die Blockbenachrichtigungsseite NOT auf der Browserseite angezeigt, das TCP Zurücksetzen wird nur an die Webserverseite gesendet, und die Aktionsspalte des Bedrohungsprotokolls zeigt "Reset-Server" anstelle von "reset-both" an. Normalerweise, wenn die firewall die erkennt die Malware in Sitzung durch HTTP AntiVirus Signatur mit der Standardaktion der http-Decoder des AntiVirus-Profils "reset-both" gesendet, die Blockbenachrichtigungsseite wird an den Browser von firewall gesendet, es wird im Browser angezeigt, die HTTP Sitzung wird auf dem Webserver / Browser-Seite zurückgesetzt und Threat Log Aktionsspalte zeigt "Reset-both".
  • Warum zeigt die Aktionsspalte "Reset-Server" anstelle von "reset-both" an, obwohl der Kunde "reset-both" für die Standardaktion des http-Decoders des AntiVirus-Profils verwendet?

Environment


  • Die Malware wird von HTTP der Sitzung gesendet.
  • PANOS 8.1
  • PANOS 9.0
  • PANOS 9.1
  • PANOS 10,0
  • Der Kunde verwendet "reset-both" für die Standardaktion des http-Decoders des AntiVirus-Profils.

Answer


  • Um die Blockbenachrichtigungsseite in die Sitzung einzufügen, in HTTP der die Malware geliefert wird, müssen Sie die Malware im ersten Paket der Antwort firewall HTTP finden. Wenn der also firewall die Bedrohung nicht im ersten Paket der Antwort erkennt, werden in diesem Fall die Header bereits vom und der die HTTP Blockbenachrichtigungsseite an den Browser firewall übertragen, und der kann die firewall Blockbenachrichtigungsseite nicht senden, die einzige Aktion, die ausgeführt wird, ist das Senden von Reset an beide.Dieses Ergebnis ist wie erwartet. Wenn der firewall die Malware früh im ersten Paket der Antwort erkennt, so ist der in der firewall Lage, die Benachrichtigungsseite an den Browser zu senden.
  • Bitte beachten Sie, dass dieses Ergebnis spezifisch ist, wenn die Malware nicht im ersten Paket der Antwort erkannt HTTP wird.
  • Wenn Sie eine detaillierte Beschreibung für "Aktionen in Sicherheitsprofilen" benötigen, finden Sie diese im URL https://docs.paloaltonetworks.com/ pan-os /10-0/ pan-os -web-interface-help/objects/objects-security-profiles/actions-in-security-profiles.html
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HCCKCA4&lang=de%E2%80%A9&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language